Официальный дилер Автополе
Ждем Вас в салонах официального дилера Автопродикс:
- СПб, Дальневосточный пр., 12 к.1
- СПб, Московское шоссе д.11 к.1
Положение об обработке и защите персональных данных
1. Настоящее Положение в области обработки и защиты персональных данных (далее – «Положение») принято и действует в ООО "РС-МОТОР" (далее – «Оператор»), ИНН 7814645392, ОГРН 1167847150217, адрес: 193318, город Санкт-Петербург, Дальневосточный пр-кт, д. 12 к. 1 литер а, помещ. 32.
2. Положение определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.
Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных..
3. Оператор включен в Реестр операторов, осуществляющих обработку персональных данных (далее – «Реестр»). Указанный Реестр опубликован на сайте Роскомнадзора в сети «Интернет» по адресу: http://pd.rkn.gov.ru/operators-registry/operators-list/
4. Положение применяется к обработке персональных данных Оператором, в том числе, в следующих случаях:
• использование веб-сайтов и мобильных приложений, владельцем которых является Оператор;
• любые обращения к Оператору в любой форме, направление жалоб, комментариев или замечаний и предложений;
• посещение офисов и иных помещений Оператора;
• продажа автомобилей и иных товаров, проведение работ (включая сервисное обслуживание автомобилей), оказание услуг (включая информационные услуги с использованием веб-сервисов) Оператором;
• взаимодействие с контрагентами, деловыми партнерами, при осуществлении деятельности Оператора;
• а также в иных случаях.
5. Субъектами, чьи персональные данные обрабатываются в соответствии с Положением, могут являться:
• клиенты (в том числе потенциальные клиенты), в том числе посетители дилерского и сервисного центра Оператора, а также лица, получающие (собирающиеся получить) услуги, оказываемые Оператором, лица, обращающиеся к Оператору, в том числе посредством чат-бота на сайте, контакт-центра, формы обратной связи и др.;
• контрагенты или бизнес-партнеры (потенциальные контрагенты или бизнес-партнеры) Оператора и их представители и работники;
• работники Оператора, соискатели вакансий, уволенные сотрудники.
6. Принципами обработки персональных данных Оператором являются:
• Обработка персональных данных должна осуществляться на законной и справедливой основе.
• Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
• Обработке подлежат только персональные данные, которые отвечают целям их обработки.
• Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
• При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
• Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Состав и цели обработки персональных данных
7. В соответствии с принципами обработки персональных данных Оператором определены состав обрабатываемых персональных данных и цели их обработки.
8. В Организации выделены следующие группы категорий субъектов персональных данных:
8.1. Кадры:
• сотрудники;
• уволенные сотрудники;
• члены семей сотрудников;
• соискатели вакансий;
Целями обработки персональных данных группы категорий субъектов персональных данных «Кадры» являются:
• Ведение кадрового и бухгалтерского учета;
• Обеспечение соблюдения трудового законодательства;
• Обеспечение пропускного режима на территорию оператора;
• Подбор персонала (соискателей) на вакантные должности оператора;
• Обработка обращений субъектов персональных данных, направленных Оператору;
• Формирование и представление ответов на обращения субъектов персональных данных, полученных Оператором;
• Ознакомления пользователей Интернет-ресурсов оператора с информацией о профессиональной деятельности оператора, о его работниках и лицах, оказывающих оператору отдельные услуги;
• Обеспечения соблюдения требований корпоративного законодательства.
Для целей обработки персональных данных категорий субъектов «Кадры» обрабатываются следующие персональные данные:
• Данные, не являющиеся специальными или биометрическими: фамилия, имя, отчество; сведения о прежних фамилии, имени, отчестве; адрес по месту регистрации и фактический адрес; дата и место рождения; номер домашнего телефона, номер рабочего телефона, номер мобильного телефона; адреса личной электронной почты и рабочей электронной почты; иная контактная информация, включая контактную информацию для экстренных случаев; паспортные данные; данные водительского удостоверения; информация о наличии ученой степени; информация о знаниях иностранных языков; информация о профессиональной деятельности; номер страхового свидетельства Пенсионного фонда Российской Федерации и индивидуальный номер налогоплательщика; сведения, содержащиеся в трудовой книжке или в сведениях о трудовой деятельности; сведения, содержащиеся в документах воинского учета; сведения об основном образовании; сведения о дополнительном образовании; сведения о текущем статусе работника (должность, департамент, отдел, повышение квалификации, результаты прохождения тренингов и т.д.), сведения, содержащиеся в характеристиках и автобиографии (в частности, дата приема на работу), сведения о составе и размере заработной платы, данные о социальных льготах и необходимые для предоставления льгот, сведения о доходах и обязательствах имущественного характера; сведения о банковских счетах, на которые Работодателем перечисляется заработная плата; сведения о результатах прохождения внутренних оценок персонала; сведения о наградах, вознаграждениях и дисциплинарных взысканиях; сведения о личных качествах; сведения об опыте работы с компьютером; состояние в браке; сведения документов, связанных с трудовой деятельностью иностранного гражданина на территории Российской Федерации, а именно:
- данные разрешения на осуществление трудовой деятельности;
- данные документов, подтверждающих миграционный учет;
- данные регистрации по месту пребывания/проживания/вид на жительство;
- визовые данные.
• Биометрические персональные данные: фотография (для обеспечения пропускного режима).
• Специальные категории персональных данных: сведения о состоянии здоровья, относящиеся к возможности исполнения трудовой функции, сведения о прохождении медицинских осмотров, о полной, частичной или временной нетрудоспособности, сведения об отпуске по беременности и родам, сведения о состоянии здоровья, передаваемые Работодателю в соответствии с положениями трудового законодательства, сведения о медицинском освидетельствовании на предмет отсутствия инфекционных заболеваний либо о проведении вакцинации как составной части иммунопрофилактики инфекционных болезней согласно миграционному законодательству, сведения о семейном положении, составе семьи и ближайших родственниках; состояние в браке.
8.2. Клиенты:
• клиенты Дилеров;
• контактные лица покупателей юридических лиц;
• посетители сайта.
• пользователи мобильных приложений
Целями обработки ПДн группы категорий субъектов ПДн «Клиенты» являются:
• Подготовка, заключение и исполнением гражданско-правовых договоров, стороной которых является Субъект персональных данных;
• Проведение статистического учета, проведение опросов и исследований, направленных на улучшение качества продукции и услуг по ремонту и обслуживанию автомобилей, проведение маркетинговых программ и статистических исследований в области продаж, сервиса, послепродажного обслуживания;
• Продвижение Оператором товаров, работ, услуг на рынке путем осуществления прямых контактов с Субъектом персональных данных с помощью различных средств связи;
• Обработка обращений субъектов персональных данных, направленных Оператору;
• Формирование и представление ответов на обращения субъектов персональных данных, полученных Оператором;
• Ознакомления пользователей Интернет-ресурсов оператора с информацией о профессиональной деятельности оператора, о его работниках и лицах, оказывающих оператору отдельные услуги;
• Получения оператором технической и статистической информации о пользовательской активности и характеристиках пользователей Интернет-ресурсов оператора;
Для целей обработки ПДн категорий субъектов «Клиенты» обрабатываются следующие персональные данные:
• Не являющиеся специальными или биометрическими: фамилия, имя, отчество; паспортные данные (номер и серия паспорта, сведения о дате выдачи паспорта и выдавшем его органе) или данные документа, удостоверяющего личность; год, месяц, дата и место рождения; пол; возраст; адрес места жительства; адрес электронной почты; номер мобильного телефона; сведения о водительством удостоверении, включая серию и номер; сведения об автомобиле, включая: марку, модель, государственный номерной знак, идентификационный номер (VIN), пробег автомобиля; перечень работ, проведенных с автомобилем, перечень замененных деталей; поведение на сайте и в Интернете; IP-адрес, браузер.
8.3. Контрагенты:
• контрагенты – физические лица и индивидуальные предприниматели;
• контактные лица партнеров юридических лиц;
Целью обработки персональных данных группы категорий субъектов персональных данных «Контрагенты» является:
• Подготовка, заключение и исполнением гражданско-правовых договоров, стороной которых является Субъект персональных данных;
Для целей обработки персональных данных категорий субъектов «Контрагенты» обрабатываются следующие персональные данные:
• Данные, не являющиеся специальными или биометрическими: фамилия, имя, отчество; сведения о должности и структурном подразделении; номер телефона; адрес электронной почты; паспортные данные или данные документа, удостоверяющего личность; адрес места жительства; дата регистрации по месту жительства; дата рождения; место рождения; пол; гражданство; данные документа, подтверждающего полномочия представлять юридическое лицо.
9. Конкретные персональные данные, обрабатываемые Оператором для каждой цели, указываются в конкретных согласиях на обработку персональных данных.
10. Для указанных целей обработки персональных данных субъектов у Оператора действуют следующие условия:
10.1. Способ обработки персональных данных– смешанный (с использованием, без использования средств автоматизации).
10.2. Хранение персональных данных осуществляется в порядке, исключающем к ним доступ неуполномоченных лиц, их утрату или их неправомерное использование. Документы передаются на архивное хранение по достижении целей обработки. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения. Сроки хранения бумажных материальных носителей персональных данных определяются в соответствии со сроком действия договоров с субъектами персональных данных и законодательством РФ.
11. Сроки обработки персональных данных указываются в конкретных согласиях на обработку персональных данных.
12. Уничтожение документов, содержащих персональные данные, производится:
• по достижении целей их обработки;
• по окончании срока хранения персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
• в случае выявления неправомерной обработки персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных.
13. Персональные данные на бумажных носителях: основанием для уничтожения документов является:
• достижение целей обработки;
• отзыв согласия субъекта на обработку его персональных данных;
• получение соответствующего запроса от субъекта персональных данных;
• получение соответствующего указания от уполномоченного органа по защите прав субъектов.
14. Локальные документы, содержащие персональные данные, уничтожаются по мере необходимости.
15. Уничтожение носителей производится путем их физического разрушения с предварительным уничтожением содержащейся на них персональных данных, если это позволяют физические принципы работы носителя. Уничтожение персональных данных из информационных систем производится путем их удаления из соответствующих систем. Об уничтожении персональных данных Оператор уведомляет субъектов персональных данных в порядке, установленном законодательством РФ.
16. Состав и цели обработки персональных данных соответствуют требованиям действующего законодательства РФ в области обработки и защиты персональных данных.
17. Оператор следует общекорпоративным правилам защиты данных. Оператор при обработке персональных данных преследует исключительно те цели, которые были определены перед началом сбора данных. Последующие изменения целей возможны только в ограниченной мере и подлежат обоснованию и информированию об этом субъекта персональных данных. В случае если предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными, Оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку
18. Конкретные состав и цели обработки персональных данных фиксируются и доводятся до сведения субъекта персональных данных при сборе персональных данных способом и в форме, соответствующими источнику получения и основаниям обработки таких персональных данных (например, согласие на обработку персональных данныхн, информирование об условиях предоставления услуг, соответствующий договор и т.п.).
2. Положение определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.
Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных..
3. Оператор включен в Реестр операторов, осуществляющих обработку персональных данных (далее – «Реестр»). Указанный Реестр опубликован на сайте Роскомнадзора в сети «Интернет» по адресу: http://pd.rkn.gov.ru/operators-registry/operators-list/
4. Положение применяется к обработке персональных данных Оператором, в том числе, в следующих случаях:
• использование веб-сайтов и мобильных приложений, владельцем которых является Оператор;
• любые обращения к Оператору в любой форме, направление жалоб, комментариев или замечаний и предложений;
• посещение офисов и иных помещений Оператора;
• продажа автомобилей и иных товаров, проведение работ (включая сервисное обслуживание автомобилей), оказание услуг (включая информационные услуги с использованием веб-сервисов) Оператором;
• взаимодействие с контрагентами, деловыми партнерами, при осуществлении деятельности Оператора;
• а также в иных случаях.
5. Субъектами, чьи персональные данные обрабатываются в соответствии с Положением, могут являться:
• клиенты (в том числе потенциальные клиенты), в том числе посетители дилерского и сервисного центра Оператора, а также лица, получающие (собирающиеся получить) услуги, оказываемые Оператором, лица, обращающиеся к Оператору, в том числе посредством чат-бота на сайте, контакт-центра, формы обратной связи и др.;
• контрагенты или бизнес-партнеры (потенциальные контрагенты или бизнес-партнеры) Оператора и их представители и работники;
• работники Оператора, соискатели вакансий, уволенные сотрудники.
6. Принципами обработки персональных данных Оператором являются:
• Обработка персональных данных должна осуществляться на законной и справедливой основе.
• Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
• Обработке подлежат только персональные данные, которые отвечают целям их обработки.
• Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
• При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
• Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Состав и цели обработки персональных данных
7. В соответствии с принципами обработки персональных данных Оператором определены состав обрабатываемых персональных данных и цели их обработки.
8. В Организации выделены следующие группы категорий субъектов персональных данных:
8.1. Кадры:
• сотрудники;
• уволенные сотрудники;
• члены семей сотрудников;
• соискатели вакансий;
Целями обработки персональных данных группы категорий субъектов персональных данных «Кадры» являются:
• Ведение кадрового и бухгалтерского учета;
• Обеспечение соблюдения трудового законодательства;
• Обеспечение пропускного режима на территорию оператора;
• Подбор персонала (соискателей) на вакантные должности оператора;
• Обработка обращений субъектов персональных данных, направленных Оператору;
• Формирование и представление ответов на обращения субъектов персональных данных, полученных Оператором;
• Ознакомления пользователей Интернет-ресурсов оператора с информацией о профессиональной деятельности оператора, о его работниках и лицах, оказывающих оператору отдельные услуги;
• Обеспечения соблюдения требований корпоративного законодательства.
Для целей обработки персональных данных категорий субъектов «Кадры» обрабатываются следующие персональные данные:
• Данные, не являющиеся специальными или биометрическими: фамилия, имя, отчество; сведения о прежних фамилии, имени, отчестве; адрес по месту регистрации и фактический адрес; дата и место рождения; номер домашнего телефона, номер рабочего телефона, номер мобильного телефона; адреса личной электронной почты и рабочей электронной почты; иная контактная информация, включая контактную информацию для экстренных случаев; паспортные данные; данные водительского удостоверения; информация о наличии ученой степени; информация о знаниях иностранных языков; информация о профессиональной деятельности; номер страхового свидетельства Пенсионного фонда Российской Федерации и индивидуальный номер налогоплательщика; сведения, содержащиеся в трудовой книжке или в сведениях о трудовой деятельности; сведения, содержащиеся в документах воинского учета; сведения об основном образовании; сведения о дополнительном образовании; сведения о текущем статусе работника (должность, департамент, отдел, повышение квалификации, результаты прохождения тренингов и т.д.), сведения, содержащиеся в характеристиках и автобиографии (в частности, дата приема на работу), сведения о составе и размере заработной платы, данные о социальных льготах и необходимые для предоставления льгот, сведения о доходах и обязательствах имущественного характера; сведения о банковских счетах, на которые Работодателем перечисляется заработная плата; сведения о результатах прохождения внутренних оценок персонала; сведения о наградах, вознаграждениях и дисциплинарных взысканиях; сведения о личных качествах; сведения об опыте работы с компьютером; состояние в браке; сведения документов, связанных с трудовой деятельностью иностранного гражданина на территории Российской Федерации, а именно:
- данные разрешения на осуществление трудовой деятельности;
- данные документов, подтверждающих миграционный учет;
- данные регистрации по месту пребывания/проживания/вид на жительство;
- визовые данные.
• Биометрические персональные данные: фотография (для обеспечения пропускного режима).
• Специальные категории персональных данных: сведения о состоянии здоровья, относящиеся к возможности исполнения трудовой функции, сведения о прохождении медицинских осмотров, о полной, частичной или временной нетрудоспособности, сведения об отпуске по беременности и родам, сведения о состоянии здоровья, передаваемые Работодателю в соответствии с положениями трудового законодательства, сведения о медицинском освидетельствовании на предмет отсутствия инфекционных заболеваний либо о проведении вакцинации как составной части иммунопрофилактики инфекционных болезней согласно миграционному законодательству, сведения о семейном положении, составе семьи и ближайших родственниках; состояние в браке.
8.2. Клиенты:
• клиенты Дилеров;
• контактные лица покупателей юридических лиц;
• посетители сайта.
• пользователи мобильных приложений
Целями обработки ПДн группы категорий субъектов ПДн «Клиенты» являются:
• Подготовка, заключение и исполнением гражданско-правовых договоров, стороной которых является Субъект персональных данных;
• Проведение статистического учета, проведение опросов и исследований, направленных на улучшение качества продукции и услуг по ремонту и обслуживанию автомобилей, проведение маркетинговых программ и статистических исследований в области продаж, сервиса, послепродажного обслуживания;
• Продвижение Оператором товаров, работ, услуг на рынке путем осуществления прямых контактов с Субъектом персональных данных с помощью различных средств связи;
• Обработка обращений субъектов персональных данных, направленных Оператору;
• Формирование и представление ответов на обращения субъектов персональных данных, полученных Оператором;
• Ознакомления пользователей Интернет-ресурсов оператора с информацией о профессиональной деятельности оператора, о его работниках и лицах, оказывающих оператору отдельные услуги;
• Получения оператором технической и статистической информации о пользовательской активности и характеристиках пользователей Интернет-ресурсов оператора;
Для целей обработки ПДн категорий субъектов «Клиенты» обрабатываются следующие персональные данные:
• Не являющиеся специальными или биометрическими: фамилия, имя, отчество; паспортные данные (номер и серия паспорта, сведения о дате выдачи паспорта и выдавшем его органе) или данные документа, удостоверяющего личность; год, месяц, дата и место рождения; пол; возраст; адрес места жительства; адрес электронной почты; номер мобильного телефона; сведения о водительством удостоверении, включая серию и номер; сведения об автомобиле, включая: марку, модель, государственный номерной знак, идентификационный номер (VIN), пробег автомобиля; перечень работ, проведенных с автомобилем, перечень замененных деталей; поведение на сайте и в Интернете; IP-адрес, браузер.
8.3. Контрагенты:
• контрагенты – физические лица и индивидуальные предприниматели;
• контактные лица партнеров юридических лиц;
Целью обработки персональных данных группы категорий субъектов персональных данных «Контрагенты» является:
• Подготовка, заключение и исполнением гражданско-правовых договоров, стороной которых является Субъект персональных данных;
Для целей обработки персональных данных категорий субъектов «Контрагенты» обрабатываются следующие персональные данные:
• Данные, не являющиеся специальными или биометрическими: фамилия, имя, отчество; сведения о должности и структурном подразделении; номер телефона; адрес электронной почты; паспортные данные или данные документа, удостоверяющего личность; адрес места жительства; дата регистрации по месту жительства; дата рождения; место рождения; пол; гражданство; данные документа, подтверждающего полномочия представлять юридическое лицо.
9. Конкретные персональные данные, обрабатываемые Оператором для каждой цели, указываются в конкретных согласиях на обработку персональных данных.
10. Для указанных целей обработки персональных данных субъектов у Оператора действуют следующие условия:
10.1. Способ обработки персональных данных– смешанный (с использованием, без использования средств автоматизации).
10.2. Хранение персональных данных осуществляется в порядке, исключающем к ним доступ неуполномоченных лиц, их утрату или их неправомерное использование. Документы передаются на архивное хранение по достижении целей обработки. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения. Сроки хранения бумажных материальных носителей персональных данных определяются в соответствии со сроком действия договоров с субъектами персональных данных и законодательством РФ.
11. Сроки обработки персональных данных указываются в конкретных согласиях на обработку персональных данных.
12. Уничтожение документов, содержащих персональные данные, производится:
• по достижении целей их обработки;
• по окончании срока хранения персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
• в случае выявления неправомерной обработки персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных.
13. Персональные данные на бумажных носителях: основанием для уничтожения документов является:
• достижение целей обработки;
• отзыв согласия субъекта на обработку его персональных данных;
• получение соответствующего запроса от субъекта персональных данных;
• получение соответствующего указания от уполномоченного органа по защите прав субъектов.
14. Локальные документы, содержащие персональные данные, уничтожаются по мере необходимости.
15. Уничтожение носителей производится путем их физического разрушения с предварительным уничтожением содержащейся на них персональных данных, если это позволяют физические принципы работы носителя. Уничтожение персональных данных из информационных систем производится путем их удаления из соответствующих систем. Об уничтожении персональных данных Оператор уведомляет субъектов персональных данных в порядке, установленном законодательством РФ.
16. Состав и цели обработки персональных данных соответствуют требованиям действующего законодательства РФ в области обработки и защиты персональных данных.
17. Оператор следует общекорпоративным правилам защиты данных. Оператор при обработке персональных данных преследует исключительно те цели, которые были определены перед началом сбора данных. Последующие изменения целей возможны только в ограниченной мере и подлежат обоснованию и информированию об этом субъекта персональных данных. В случае если предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными, Оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку
18. Конкретные состав и цели обработки персональных данных фиксируются и доводятся до сведения субъекта персональных данных при сборе персональных данных способом и в форме, соответствующими источнику получения и основаниям обработки таких персональных данных (например, согласие на обработку персональных данныхн, информирование об условиях предоставления услуг, соответствующий договор и т.п.).
Правила обработки персональных данных
19. Обработка персональных данных осуществляется Оператором на законной основе. В случаях, предусмотренных действующим законодательством РФ, Оператор осуществляет получение согласия (письменного согласия) субъекта на обработку его персональных данных в установленном действующим законодательством РФ порядке. Если Оператор получает персональные данные от третьего лица, то он требует подтверждения от этого лица, что оно имеет необходимые основания для передачи персональных данных Оператору.
20. Оператор осуществляет, в том числе, следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
21. При сборе персональных данных Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».
22. Оператор в ходе своей деятельности вправе поручать обработку и/или передавать персональные данные (предоставлять доступ к персональные данные) третьему лицу, если иное не предусмотрено действующим законодательством РФ.
При этом обязательным условием поручения обработки и/или передачи персональных данных третьему лицу является:
• обязанность по соблюдению таким лицом принципов и правил обработки персональных данных, предусмотренных действующим законодательством, по соблюдению конфиденциальности и обеспечению безопасности и защиты персональных данных при их обработке, обеспечению прав субъектов персональных данных
• обязательство третьего лица использовать данные исключительно определенные в поручении данные в заранее определенных целях и объемах
• обязательство третьего лица исполнять обязанности, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона «О персональных данных»
• обязанность предоставлять документы и информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных статьей 6 Федерального закона «О персональных данных» по запросу Оператора (до и во время исполнения поручения)
• обеспечивать безопасность персональных данных при их обработке
• соблюдать требования к защите персональных данных, установленные статьей 19 Федерального закона «О персональных данных»
• в установленном в поручении порядке информировать Оператора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных
• обязательство соблюдать иные условия обработки и защиты персональных данных, которые были указаны/сообщены/согласованы с субъектом персональных данных персональных данных Оператором. К подобным третьим лицам относятся, в частности, контрагенты Оператора (включая организации, оказывающие услуги колл-центра, услуги проверки и аудита сделок, услуги проведения статистических исследований, услуги поддержки используемых информационных систем) и иные, если указано/сообщено/согласовано с субъектом персональных данных в соответствии с законодательством РФ.
23. При поручении обработки или передаче (предоставлении доступа к) персональным данным третьему лицу возможны случаи осуществления трансграничной передачи. В этом случае Оператор следует требованиям законодательства РФ и осуществляет передачу только на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или на территорию государства обеспечивающих адекватную защиту прав субъектов персональных данных, а также на территорию стран, обеспечивающих адекватную защиту прав субъектов персональных данных.
24. Оператор не обрабатывает персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
25. Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных) осуществляется исключительно в случаях, когда такая обработка объективно необходима (например, для изготовления пропусков работникам Оператора). Однако, при предъявлении субъектами персональных данных паспортов или иных документов, содержащих фотографию субъекта, Оператор не использует данную фотографию для установления личности субъекта персональных данных (идентификация), а использует для удостоверения тождественности лица, предъявившего документ, с лицом, изображенным на фотографии в этом документе (аутентификация).
26. Оператор не размещает персональные данные субъекта персональных данных в общедоступных источниках без его согласия, однако субъект персональных данных вправе дать согласие на распространение его персональных данных в порядке, установленном статьей 10.1 Федерального закона «О персональных данных», с запретами и условиями их обработки или без таковых.
27. Оператор организовывает процессы взаимодействия с субъектами персональных данных таким образом, чтобы субъект мог обратиться к Оператору по всем предусмотренным в законодательстве РФ вопросам, связанным с обработкой его персональных данных (информация об обрабатываемых персональных данных, о третьих лицах, о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных», запросы на уточнение, прекращение обработки, блокировку и уничтожение), путем направления письменного запроса заказным почтовым отправлением с описью вложения или курьерской службой по адресу нахождения Оператора, либо вручено лично под роспись уполномоченному представителю Оператора.
28. Согласие на обработку персональных данных может быть отозвано субъектом путем направления письменного уведомления, подписанного субъектом персональных данных, в адрес Оператора заказным почтовым отправлением с описью вложения или курьерской службой, либо вручено лично под роспись уполномоченному представителю Оператора.
29. В случае отзыва субъектом персональных данных согласия на обработку его персональный данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожит персональные данные или обеспечит их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект данных, иным соглашением между Оператором и субъектом данных либо если Оператор не вправе осуществлять обработку данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами. Оператор при этом вправе продолжить обработку персональных данных в случаях, установленных действующим законодательством РФ, или если обрабатываются в соответствии с иным законным основанием (в частности, в соответствии с принятыми условиями предоставления услуг).
30. При наличии подписок на получение информационных и рекламных коммуникаций, субъект может обратиться к Оператору с просьбой об отписке от таких коммуникаций следующими способами:
• путем активации автоматической функции «Отписаться» по ссылке, присутствующей в электронном письме, содержащем коммуникацию. В этом случае Оператор прекращает направление коммуникаций на адрес электронной почты Пользователя;
• путем обращения в контактный центр Организации по телефону +7 (812) 449-59-99;
• путем обращения с соответствующим запросом по адресу электронной почты os@autoprodix.ru либо по адресу местонахождения Оператора.
31. Организация может запрашивать согласие субъекта персональных данных неоднократно при каждом обращении субъекта. В случае если при последующих запросах Оператором согласия (например, при заполнении веб-форм с соответствующим полем для проставления галочки о согласии) таковое не будет дано, ранее данное согласие не будет автоматически признаваться отозванным и продолжит действовать в течение указанного в согласии срока.
32. Предоставление персональных данных органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Оператором в случаях и в порядке, предусмотренных законодательством РФ.
33. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Указанное право может быть ограничено в соответствии с федеральными законами, в том числе в случаях, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных».
34. В целях обеспечения защиты своих персональных данных субъект персональных данных имеет право:
• получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
• осуществлять свободный бесплатный доступ к своим персональных данных, включая право получать копии любой записи, содержащей персональных данных, за исключением случаев, предусмотренных Федеральным законом;
• требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, прекращения обработки (Субъект персональных данных, при отказе Оператора или ее уполномоченного лица исключить или исправить персональные данные, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения);
• требовать от Организации или ее уполномоченного лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суде любые неправомерные действия или бездействие руководителя организации или уполномоченного им лица при обработке и защите персональных данных;
• вносить предложения по мерам защиты персональных данных.
35. Запрос субъекта персональных данных должен соответствовать части 3 статьи 14 Федерального закона «О персональных данных».
36. Оператор отвечает на запросы и обращения субъектов персональных данных и/или их представителей в сроки и в порядке, установленные в ст.ст. 14, 20, 21 Федерального закона «О персональных данных».
Установление правил и порядка обработки персональных данных
37. Доступ к персональным данным предоставляется в зависимости от целей их обработки, обусловленных должностными обязанностями уполномоченных лиц.
38. Право доступа к персональным данным субъекта персональных данных имеют:
• Директор (в отношении всех работников и клиентов Оператора);
• Директор Автоцентра (к персональным данным, которые необходимы им для выполнения должностных обязанностей)
• Работники юридической службы (к персональным данным, которые необходимы им для выполнения их обязанностей);
• Руководители структурных подразделений Оператора (в отношении всех подчиненных им работников Оператора и в отношении обслуживаемых подразделением клиентов);
• Начальник отдела комплексной зашиты информации (в отношении всех работников и клиентов Оператора);
• Руководители и работники кадровой службы (в отношении всех работников Оператора);
• иные работники Оператора - к тем данным, которые необходимы им для выполнения должностных обязанностей;
• субъект персональных данных – к свои персональным данным.
39. Сотрудники Оператора допускаются к работе с персональными данными, в зависимости от должности, структурного подразделения и с учетом типов обработки персональных данных, входящих в их должностные обязанности.
40. Уничтожение персональных данных работников и/или клиентов - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
41. Решение об уничтожении персональных данных во всех электронных базах данных и на всех видах материальных носителей по достижении цели обработки по письменному запросу руководителей структурных подразделений принимает руководитель Оператора на основании требований законодательства Российской Федерации. Уничтожение персональных данных оформляется Актом.
42. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его законного представителя.
43. Мерами, направленными на обеспечение выполнения Оператором обязанностей, предусмотренных настоящим Федеральным законом меры по обеспечению безопасности персональных данных при их обработке относятся:
• назначение Оператором ответственного за организацию обработки персональных данных;
• издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
• оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Операором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
• ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Требования к обеспечению конфиденциальности и безопасности персональных данных
44. Организация обязана обеспечить:
• предотвращение несанкционированного доступа к персональным данным субъекта персональных данных и передачи их лицам, не имеющим права доступа к данной информации;
• защиту персональных данных от уничтожения, модифицирования, блокирования, копирования, распространения, а также иных неправомерных действий в отношении персональных данных;
• своевременное обнаружение фактов несанкционированного доступа к персональным данным субъекта персональных данных;
• постоянный контроль за обеспечением уровня защищенности персональных данных субъекта персональных данных.
45. С целью обеспечения безопасности персональных данных при их обработке Оператором реализуются требования действующего законодательства РФ в области обработки и обеспечения безопасности персональных данных и требования локальных нормативных актов Оператора.
46. Для этих целей Оператором введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
47. Оператор применяет необходимые и достаточные правовые, организационные и технические меры, для защиты персональных данных, включающие в себя, в том числе:
• раздельное хранение персональных данных разных категорий субъектов персональных данных.
• хранение материальных носителей, содержащих персональные данные, в помещениях, исключающих свободный доступ третьих лиц, с возможностью запирания объект хранения на ключ либо имеющий магнитный замок.
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
• учет машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональных данных и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональных данных, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональных данных в ИСПДн;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн, а также:
o разработку внутренних документов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
o защиту персональных данных от несанкционированного доступа, неправомерной обработки или передачи, а также от утери, искажения или уничтожения (вне зависимости от того, автоматизированная или неавтоматизированная обработка персональных данных осуществляется);
o определение и внедрение перед введением новых процессов обработки персональных данных и новых ИСПДн технических и организационных мер, обеспечивающих защиту персональных данных, ориентированных на современный уровень техники и необходимую степень защиты персональных данных;
48. В части обеспечения конфиденциальности обработки Оператор предпринимает меры, направленные на предотвращение несанкционированного сбора, обработки или использования персональных данных:
• предоставление доступа к персональным данным только в случаях и в порядке, предусмотренном законодательством РФ;
• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• обеспечение целостности информационной системы и персональных данных;
• регистрация событий безопасности;
• антивирусная защита;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, требованиями к неавтоматизированной обработке персональных данных, и (или) обучение указанных работников.
49. Оператором назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных.
50. Руководство Оператора заинтересовано в обеспечении безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Оператором, как с точки зрения требований действующего законодательства РФ и корпоративных правил, так и с точки зрения минимизации рисков для субъектов персональных данных.
51. Оператор также осуществляет взаимодействие с органом, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных в порядке, установленном законодательством РФ.
Контроль
52. Контроль за выполнением настоящего Положения осуществляется лицами, исполняющими соответствующие роли согласно внутренним распорядительным документам Оператора, в соответствии с их функциями, а также руководителями управлений, департаментов, отделов и подразделений Оператора – в отношении выполнения положений подчиняющимися ими работниками.
Ответственность за разглашение информации, содержащей персональные данные
53. Сотрудники Оператора, виновные в нарушении требований Федерального закона «О персональных данных» и настоящего Положения несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность за ненадлежащую организацию работы по защите персональных данных, в том числе в информационных системах персональных данных, во вверенных подразделениях.
Заключительные положения
54. Настоящее Положение вступает в силу с момента ее утверждения и действует до момента внесения изменений и/или принятия нового документа в соответствии с внутренним порядком Оператора.
55. В случае если какое-либо из положений настоящей Политики является или становится недействительным, это не затрагивает действительность остальных положений настоящего Положения.
56. В случае изменения нормативно-правовых актов, использованных в настоящем Положении, настоящее Положение продолжает свое действие в части, не противоречащей действующему законодательству. В остальной части Оператор руководствуется нормами действующего законодательства РФ.
57. Действующая редакция Положения на бумажном носителе хранится в ООО «Автопродикс Спорт» по адресу: 193318, город Санкт-Петербург, Дальневосточный пр-кт, д. 12 к. 1 литер а, помещ. 32
58. Электронная версия действующей редакции Положения размещена на официальном сайте ООО "РС-МОТОР": https://sales.autoprodix-haval.ru/regulation
19. Обработка персональных данных осуществляется Оператором на законной основе. В случаях, предусмотренных действующим законодательством РФ, Оператор осуществляет получение согласия (письменного согласия) субъекта на обработку его персональных данных в установленном действующим законодательством РФ порядке. Если Оператор получает персональные данные от третьего лица, то он требует подтверждения от этого лица, что оно имеет необходимые основания для передачи персональных данных Оператору.
20. Оператор осуществляет, в том числе, следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
21. При сборе персональных данных Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».
22. Оператор в ходе своей деятельности вправе поручать обработку и/или передавать персональные данные (предоставлять доступ к персональные данные) третьему лицу, если иное не предусмотрено действующим законодательством РФ.
При этом обязательным условием поручения обработки и/или передачи персональных данных третьему лицу является:
• обязанность по соблюдению таким лицом принципов и правил обработки персональных данных, предусмотренных действующим законодательством, по соблюдению конфиденциальности и обеспечению безопасности и защиты персональных данных при их обработке, обеспечению прав субъектов персональных данных
• обязательство третьего лица использовать данные исключительно определенные в поручении данные в заранее определенных целях и объемах
• обязательство третьего лица исполнять обязанности, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона «О персональных данных»
• обязанность предоставлять документы и информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных статьей 6 Федерального закона «О персональных данных» по запросу Оператора (до и во время исполнения поручения)
• обеспечивать безопасность персональных данных при их обработке
• соблюдать требования к защите персональных данных, установленные статьей 19 Федерального закона «О персональных данных»
• в установленном в поручении порядке информировать Оператора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных
• обязательство соблюдать иные условия обработки и защиты персональных данных, которые были указаны/сообщены/согласованы с субъектом персональных данных персональных данных Оператором. К подобным третьим лицам относятся, в частности, контрагенты Оператора (включая организации, оказывающие услуги колл-центра, услуги проверки и аудита сделок, услуги проведения статистических исследований, услуги поддержки используемых информационных систем) и иные, если указано/сообщено/согласовано с субъектом персональных данных в соответствии с законодательством РФ.
23. При поручении обработки или передаче (предоставлении доступа к) персональным данным третьему лицу возможны случаи осуществления трансграничной передачи. В этом случае Оператор следует требованиям законодательства РФ и осуществляет передачу только на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или на территорию государства обеспечивающих адекватную защиту прав субъектов персональных данных, а также на территорию стран, обеспечивающих адекватную защиту прав субъектов персональных данных.
24. Оператор не обрабатывает персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
25. Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных) осуществляется исключительно в случаях, когда такая обработка объективно необходима (например, для изготовления пропусков работникам Оператора). Однако, при предъявлении субъектами персональных данных паспортов или иных документов, содержащих фотографию субъекта, Оператор не использует данную фотографию для установления личности субъекта персональных данных (идентификация), а использует для удостоверения тождественности лица, предъявившего документ, с лицом, изображенным на фотографии в этом документе (аутентификация).
26. Оператор не размещает персональные данные субъекта персональных данных в общедоступных источниках без его согласия, однако субъект персональных данных вправе дать согласие на распространение его персональных данных в порядке, установленном статьей 10.1 Федерального закона «О персональных данных», с запретами и условиями их обработки или без таковых.
27. Оператор организовывает процессы взаимодействия с субъектами персональных данных таким образом, чтобы субъект мог обратиться к Оператору по всем предусмотренным в законодательстве РФ вопросам, связанным с обработкой его персональных данных (информация об обрабатываемых персональных данных, о третьих лицах, о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных», запросы на уточнение, прекращение обработки, блокировку и уничтожение), путем направления письменного запроса заказным почтовым отправлением с описью вложения или курьерской службой по адресу нахождения Оператора, либо вручено лично под роспись уполномоченному представителю Оператора.
28. Согласие на обработку персональных данных может быть отозвано субъектом путем направления письменного уведомления, подписанного субъектом персональных данных, в адрес Оператора заказным почтовым отправлением с описью вложения или курьерской службой, либо вручено лично под роспись уполномоченному представителю Оператора.
29. В случае отзыва субъектом персональных данных согласия на обработку его персональный данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожит персональные данные или обеспечит их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект данных, иным соглашением между Оператором и субъектом данных либо если Оператор не вправе осуществлять обработку данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами. Оператор при этом вправе продолжить обработку персональных данных в случаях, установленных действующим законодательством РФ, или если обрабатываются в соответствии с иным законным основанием (в частности, в соответствии с принятыми условиями предоставления услуг).
30. При наличии подписок на получение информационных и рекламных коммуникаций, субъект может обратиться к Оператору с просьбой об отписке от таких коммуникаций следующими способами:
• путем активации автоматической функции «Отписаться» по ссылке, присутствующей в электронном письме, содержащем коммуникацию. В этом случае Оператор прекращает направление коммуникаций на адрес электронной почты Пользователя;
• путем обращения в контактный центр Организации по телефону +7 (812) 449-59-99;
• путем обращения с соответствующим запросом по адресу электронной почты os@autoprodix.ru либо по адресу местонахождения Оператора.
31. Организация может запрашивать согласие субъекта персональных данных неоднократно при каждом обращении субъекта. В случае если при последующих запросах Оператором согласия (например, при заполнении веб-форм с соответствующим полем для проставления галочки о согласии) таковое не будет дано, ранее данное согласие не будет автоматически признаваться отозванным и продолжит действовать в течение указанного в согласии срока.
32. Предоставление персональных данных органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Оператором в случаях и в порядке, предусмотренных законодательством РФ.
33. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Указанное право может быть ограничено в соответствии с федеральными законами, в том числе в случаях, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных».
34. В целях обеспечения защиты своих персональных данных субъект персональных данных имеет право:
• получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
• осуществлять свободный бесплатный доступ к своим персональных данных, включая право получать копии любой записи, содержащей персональных данных, за исключением случаев, предусмотренных Федеральным законом;
• требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, прекращения обработки (Субъект персональных данных, при отказе Оператора или ее уполномоченного лица исключить или исправить персональные данные, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения);
• требовать от Организации или ее уполномоченного лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суде любые неправомерные действия или бездействие руководителя организации или уполномоченного им лица при обработке и защите персональных данных;
• вносить предложения по мерам защиты персональных данных.
35. Запрос субъекта персональных данных должен соответствовать части 3 статьи 14 Федерального закона «О персональных данных».
36. Оператор отвечает на запросы и обращения субъектов персональных данных и/или их представителей в сроки и в порядке, установленные в ст.ст. 14, 20, 21 Федерального закона «О персональных данных».
Установление правил и порядка обработки персональных данных
37. Доступ к персональным данным предоставляется в зависимости от целей их обработки, обусловленных должностными обязанностями уполномоченных лиц.
38. Право доступа к персональным данным субъекта персональных данных имеют:
• Директор (в отношении всех работников и клиентов Оператора);
• Директор Автоцентра (к персональным данным, которые необходимы им для выполнения должностных обязанностей)
• Работники юридической службы (к персональным данным, которые необходимы им для выполнения их обязанностей);
• Руководители структурных подразделений Оператора (в отношении всех подчиненных им работников Оператора и в отношении обслуживаемых подразделением клиентов);
• Начальник отдела комплексной зашиты информации (в отношении всех работников и клиентов Оператора);
• Руководители и работники кадровой службы (в отношении всех работников Оператора);
• иные работники Оператора - к тем данным, которые необходимы им для выполнения должностных обязанностей;
• субъект персональных данных – к свои персональным данным.
39. Сотрудники Оператора допускаются к работе с персональными данными, в зависимости от должности, структурного подразделения и с учетом типов обработки персональных данных, входящих в их должностные обязанности.
40. Уничтожение персональных данных работников и/или клиентов - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
41. Решение об уничтожении персональных данных во всех электронных базах данных и на всех видах материальных носителей по достижении цели обработки по письменному запросу руководителей структурных подразделений принимает руководитель Оператора на основании требований законодательства Российской Федерации. Уничтожение персональных данных оформляется Актом.
42. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его законного представителя.
43. Мерами, направленными на обеспечение выполнения Оператором обязанностей, предусмотренных настоящим Федеральным законом меры по обеспечению безопасности персональных данных при их обработке относятся:
• назначение Оператором ответственного за организацию обработки персональных данных;
• издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
• оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Операором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
• ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Требования к обеспечению конфиденциальности и безопасности персональных данных
44. Организация обязана обеспечить:
• предотвращение несанкционированного доступа к персональным данным субъекта персональных данных и передачи их лицам, не имеющим права доступа к данной информации;
• защиту персональных данных от уничтожения, модифицирования, блокирования, копирования, распространения, а также иных неправомерных действий в отношении персональных данных;
• своевременное обнаружение фактов несанкционированного доступа к персональным данным субъекта персональных данных;
• постоянный контроль за обеспечением уровня защищенности персональных данных субъекта персональных данных.
45. С целью обеспечения безопасности персональных данных при их обработке Оператором реализуются требования действующего законодательства РФ в области обработки и обеспечения безопасности персональных данных и требования локальных нормативных актов Оператора.
46. Для этих целей Оператором введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
47. Оператор применяет необходимые и достаточные правовые, организационные и технические меры, для защиты персональных данных, включающие в себя, в том числе:
• раздельное хранение персональных данных разных категорий субъектов персональных данных.
• хранение материальных носителей, содержащих персональные данные, в помещениях, исключающих свободный доступ третьих лиц, с возможностью запирания объект хранения на ключ либо имеющий магнитный замок.
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
• учет машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональных данных и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональных данных, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональных данных в ИСПДн;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн, а также:
o разработку внутренних документов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
o защиту персональных данных от несанкционированного доступа, неправомерной обработки или передачи, а также от утери, искажения или уничтожения (вне зависимости от того, автоматизированная или неавтоматизированная обработка персональных данных осуществляется);
o определение и внедрение перед введением новых процессов обработки персональных данных и новых ИСПДн технических и организационных мер, обеспечивающих защиту персональных данных, ориентированных на современный уровень техники и необходимую степень защиты персональных данных;
48. В части обеспечения конфиденциальности обработки Оператор предпринимает меры, направленные на предотвращение несанкционированного сбора, обработки или использования персональных данных:
• предоставление доступа к персональным данным только в случаях и в порядке, предусмотренном законодательством РФ;
• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• обеспечение целостности информационной системы и персональных данных;
• регистрация событий безопасности;
• антивирусная защита;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, требованиями к неавтоматизированной обработке персональных данных, и (или) обучение указанных работников.
49. Оператором назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных.
50. Руководство Оператора заинтересовано в обеспечении безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Оператором, как с точки зрения требований действующего законодательства РФ и корпоративных правил, так и с точки зрения минимизации рисков для субъектов персональных данных.
51. Оператор также осуществляет взаимодействие с органом, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных в порядке, установленном законодательством РФ.
Контроль
52. Контроль за выполнением настоящего Положения осуществляется лицами, исполняющими соответствующие роли согласно внутренним распорядительным документам Оператора, в соответствии с их функциями, а также руководителями управлений, департаментов, отделов и подразделений Оператора – в отношении выполнения положений подчиняющимися ими работниками.
Ответственность за разглашение информации, содержащей персональные данные
53. Сотрудники Оператора, виновные в нарушении требований Федерального закона «О персональных данных» и настоящего Положения несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность за ненадлежащую организацию работы по защите персональных данных, в том числе в информационных системах персональных данных, во вверенных подразделениях.
Заключительные положения
54. Настоящее Положение вступает в силу с момента ее утверждения и действует до момента внесения изменений и/или принятия нового документа в соответствии с внутренним порядком Оператора.
55. В случае если какое-либо из положений настоящей Политики является или становится недействительным, это не затрагивает действительность остальных положений настоящего Положения.
56. В случае изменения нормативно-правовых актов, использованных в настоящем Положении, настоящее Положение продолжает свое действие в части, не противоречащей действующему законодательству. В остальной части Оператор руководствуется нормами действующего законодательства РФ.
57. Действующая редакция Положения на бумажном носителе хранится в ООО «Автопродикс Спорт» по адресу: 193318, город Санкт-Петербург, Дальневосточный пр-кт, д. 12 к. 1 литер а, помещ. 32
58. Электронная версия действующей редакции Положения размещена на официальном сайте ООО "РС-МОТОР": https://sales.autoprodix-haval.ru/regulation